‘Patching van exploit in Microsoft Exchange verloopt traag’

Abonneer je gratis op Techzine!

Ondanks een waarschuwing van Microsoft en een patch in februari van dit jaar, hebben veel bedrijven nog steeds deze patch niet geïnstalleerd. Dit concluderen experts van securityspecialist Rapid7 in een onderzoek. Bedrijven moeten snel de update uitvoeren.

In februari van dit jaar kwam Microsoft met een waarschuwing voor een mogelijke exploit voor zijn Exchange-servers. Het gaat hierbij zowel om Exchange 2007-, als Exchange 2010-servers. Met de post-auth remote code execution-kwetsbaarheid CVE-2020-0688 kunnen hackers met elk gestolen Exchange-account een heel systeem hacken. Dit betekent onder meer dat zij de hele Exchange-omgeving kunnen overnemen, inclusief alle e-mail, en waarschijnlijk ook de hele Active Directory.

De eerste aanvallen met de exploit voor Exchange volgden snel op een technisch rapport waarin werd uitgelegd hoe de bug werkte. Dit rapport werd gevolgd door verschillende proof-of-concept exploits en een speciale Metasploit-module.

Patch op 11 februari 2020

Microsoft heeft op 11 februari een patch uitgebracht en zelfs daar hoge prioriteit aan gegeven met de tag ‘Exploitation More Likely’ exploitability index assessment. Hiermee geeft de techgigant aan dat deze kwetsbaarheid zeer interessant is voor hackers. Bovendien verwacht Microsoft in de toekomst nog meer aanvallen op de remote code-kwetsbaarheid. Dit maakt de patch echt belangrijk.

Trage uitrol

Toch hebben veel bedrijven deze belangrijke patch nog steeds niet geïnstalleerd, zo blijkt uit onderzoek van de experts van Rapid7. Zij onderzochte 433.464 wereldwijde Exchange-servers op de patch. Zij constateerden dat bij maar liefst 350,000 servers, 82,5 procent van alle onderzochte Exchange-servers, de patch nog ontbrak.

Maar het kan volgens de securityexperts nog allemaal erger worden. Veel van de servers die door de onderzoekers als veilig zijn bestempeld, kunnen alsnog kwetsbaar zijn. Veel van de updates naar de servers waren niet inclusief een update naar de build-nummers.

Oproep tot snel handelen

De experts van Rapid7 roepen beheerders dan ook op om zo snel mogelijk hun Exchange-servers te patchen. Daarbij moeten ze goed op de uitrol van de update letten en moeten zij checken of er al servers gecompromitteerd zijn.